FAQ – Perguntas e respostas frequentes sobre a LGPD – Lei Geral de Proteção de Dados na Rede de Saúde Santa Marcelina

1 – O que é, qual é o objetivo da LGPD e a quem ela se destina?

A Lei Geral de Proteção de Dados foi criada com o objetivo de proporcionar à pessoa natural, cidadão brasileiro, um controle e conhecimento maior sobre o tratamento de seus dados pessoais. Neste sentido a LGPD estabelece princípios e cria regras a serem observadas tanto por organizações privadas quanto públicas, além de criar uma entidade reguladora específica para o tema.

2 – Qual o órgão responsável pelo cumprimento da lei?

A fiscalização referente à aplicação, implantação e implementação da LGPD será realizada pela Autoridade Nacional de Proteção de Dados (ANPD), órgão que foi criado para fiscalizar o cumprimento da lei, zelar pela proteção e integridade de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade (ou incidentes). Ademais o Ministério Público continua competente para lidar com a questão no que tange os direitos difusos dos cidadãos.

3 – O que é a ANPD?

ANPD é o órgão da administração pública federal com autonomia técnica e decisória, vinculado à Presidência da República, responsável por fiscalizar e garantir o cumprimento dos requisitos e exigência previstas em lei, bem como aplicar sanções administrativas em caso de descumprimento.

Nos casos em que se fizer necessário, a ANPD guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, interoperabilidade e processos de anonimização, além poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações

4 – Em quais casos de tratamento de dados pessoais a lei é aplicada?

A lei se aplica a quaisquer operações que envolvem os procedimentos de coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.

5 – Quem é o “titular” dos direitos tutelados?

É toda a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.

6 – O que é DPO ou encarregado de dados?

DPO, ou Data Protection Officer, é a nomenclatura adotada para o encarregado de dados, que irá atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Ele está identificado no sítio institucional e possui um canal de envio de mensagem para comunicação com o mesmo.

7 – Segundo a LGPD, o que são “dados pessoais”?

É todo dado pessoal cuja informação está relacionada à pessoa natural identificada ou identificável. Como exemplos: número do CPF, data de nascimento, endereço residencial e e-mail.

8 – Quais são os princípios existentes na LGPD?

A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

9 – Quais são as Bases Legais para o tratamento de dados pessoais?

O tratamento de dados pessoais somente poderá ser realizado:

a) Com o consentimento do titular;

b) Para o cumprimento de obrigação legal ou regulatória;

c) Pela Administração Pública, na execução de políticas públicas;

d) Para a realização de estudos por órgãos de pesquisa;

e) Para execução de contratos, a pedido do titular;

f) Em processos judiciais, administrativos ou arbitrais;

g) Para proteção da vida;

h) Para tutela da saúde;

i) Em legítimo interesse do Controlador;

j) Para proteção do crédito.

10 – O que compreende o tratamento destes dados?

O tratamento de dados é um conceito abrangente, que inclui uma variedade de atos, diante de qualquer tipo de manipulação realizada com informações de cunho pessoais. Em sua abrangência, vão desde processos comuns a diversos tipos de empresas incluem, geralmente, a coleta, a reprodução, o acesso, o armazenamento e a distribuição de dados pessoais. Um exemplo simples? A criação de uma lista de e-mails ou ainda, uma planilha contendo informações de pessoas físicas.

11 – Quais são os “dados pessoais sensíveis”?

É compreendido como qualquer dado pessoal, estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

12 – O tratamento de dados pessoais sensíveis poderá ser realizado em quais condições?

O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas.

Sem o devido fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

· Cumprimento de obrigação legal ou regulatória pelo controlador;

· Pela administração pública, de políticas públicas previstas em leis ou regulamentos;

· Estudos por órgão de pesquisa;

· Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

· Proteção da vida;

· Tutela da saúde;

· Garantia da prevenção à fraude e à segurança do titular.

13 – Segundo a Lei, quais são os principais atores no tratamento de dados pessoais de acordo com a LGPD?

Basicamente, podem ser encontrados três atores: o controlador, o operador e o encarregado, sendo que:

O controlador é toda pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

O operador é toda pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O encarregado de dados é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

14 – A Lei restringe a aplicação apenas ao tratamento de dados pessoais coletados na Internet?

A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados, em atividades realizadas dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

15 – Quais são dados pessoais coletados offline ou online?

Os Dados pessoais coletados off-line são aqueles obtidos sem a utilização de ferramentas informatizadas, como por exemplo, a lista de presença em eventos.

Os dados pessoais coletados online são os que utilizam ferramentas informatizadas e/ou automatizados para serem obtidos, tais como os cadastros de candidatos para processos seletivos concorrendo a uma vaga de emprego, por exemplo.

16 – O que é considerando um dado anônimo ou anonimizado?

O Dado anônimo ou anonimizado é todo e qualquer dado pessoal que, uma vez submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

17 – Quais são os casos de tratamento de dados pessoais em que a LGPD não será aplicada?

Basicamente são aqueles casos em que o tratamento de dados pessoais for feito por uma pessoa física, para fins particulares, e não comerciais, por exemplo, coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica; para fins exclusivamente jornalísticos, artísticos e acadêmicos; ou pelo Poder Público – no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.

18 – O que é “consentimento”?

É toda a manifestação livre, informada, consciente e inequívoca segundo a qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados, para os fins a que se destina.

19 – O titular dos dados pode revogar, caso deseje, o seu consentimento?

Sim, segundo a Lei Geral de Proteção de Dados, define que o titular dos dados poderá, a qualquer momento, revogar seu consentimento.

20 – E se a finalidade de coleta de dados mudar, o que a instituição deve fazer?

Se a instituição, por suas atividades, precisar de um dado pessoal já coletado com o consentimento do titular para outra finalidade de uso, é necessário informá-lo sobre este novo intuito, considerando a especificidade. Importante ressaltar que, além de informar é preciso atualizar o consentimento do titular, por meio de nova coleta ou meio de obtenção da autorização.

21 – Há algum impedimento sobre o fato de o termo de consentimento ser escrito ou digital?

O termo de consentimento, como consta no Art. 8º da Lei, pode ser obtido por meio escrito ou por qualquer outro meio que demonstre, de forma inequívoca e consciente, a manifestação de vontade do titular.

22 – Há diferença na obtenção do consentimento para o tratamento de dados pessoais e para tratamento dados pessoais sensíveis?

A lei não faz esta distinção. O consentimento para os dados sensíveis deve sempre explicitar a finalidade de seu uso, de forma destacada. Se houver alteração na finalidade, é preciso renovar o consentimento de forma expressa, conforme informado acima.

23 – Em casos de possíveis irregularidade ou não conformidade no tratamento de dados, quem será responsabilizado?

Se o responsável pelo tratamento de dados, não o realizar dentro do que está previsto na lei, os controladores deverão ser diretamente notificados e responsabilizados. Caso o operador não tenha cumprido as rotinas e orientações repassadas e informadas dentro das normativas da LGPD pelo controlador ou ainda, falhe na segurança dos dados, este também pode ser penalizado.

24 – Quais são as possíveis penalidades que podem ser aplicadas os casos de irregularidades?

O grau e tipo de penalidade imposta irá depender da avaliação da Autoridade Nacional de Proteção de Dados, mas pode variar desde uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.

25 – Se houver infração, estas podem acarretar em multas?

As multas são de até 2% do faturamento da empresa, limitados a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além da possibilidade de suspensão das atividades de coleta e tratamento, sem prejuízo da indenização e responsabilidade em âmbito civil, pelos danos que causarem aos titulares dos dados.

26 – O que é considerado como compartilhamento de dados pessoais?

A Lei considera como compartilhamento de dados toda a comunicação, difusão, transferência internacional e interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

27 – De que forma está autorizado o compartilhamento de dados pessoais?

De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela administração pública, seus agentes e correspondentes, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

28 – Existe autorização para o compartilhamento de dados pessoais sensíveis?

A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde determina a vedação, exceto nos em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.

29 – Como se pode obter o consentimento de Crianças e Adolescentes?

A LGPD estabelece critérios específicos, em seu artigo 14, que os casos em que seja necessário o tratamento de dados pessoais de crianças e adolescentes, deverá ser realizado em seu melhor interesse e diante das finalidades justificadas.

Para tratamento de dados de crianças até 12 anos de idade, será necessário obter o consentimento específico e observando de forma obrigatória, pelo menos, um dos pais ou pelo responsável legal.

Os dados de crianças e adolescentes poderão ser coletados sem o consentimento, quando for necessário para sua proteção ou para contatar os pais ou o responsável legal, sendo utilizados uma única vez e sem armazenamento. Sem o devido consentimento ou justificativa, não se admite, em nenhum caso, o compartilhamento ou o repasse dos dados a terceiros.

30 – Em caso de incidente o titular sempre deverá ser informado?

A LGPD determina que o controlador deverá comunicar, tão logo tome conhecimento e confirmadas as evidências, tanto ao titular quanto à ANPD sobre a ocorrência de qualquer incidente de segurança, independente de porte, que possa causar risco, ameaça ou dano ao titular.

31 – O que fazer, em caso de incidente de dados pessoais?

Diante da ocorrência de fatos que resultem em incidentes, o Controlador, deverá comunicar à ANPD e ao(s) titular(es) dos dados comprometidos / atingidos, além de executar as medidas para conter o vazamento de dados, reverter ou mitigar os efeitos do incidente, conforme plano de resposta previamente estabelecido a incidentes e remediação da instituição,

32 – Os órgão de governo e pertencentes ao Poder Público, com os quais nos relacionamos, também está sujeito às disposições da LGPD?

Sim, quaisquer dos dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD. Porém, em virtude das prerrogativas legais, o Poder Público poderá tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas pública, desde que sejam adotadas as medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público.

33 – A LGPD permite a transferência de dados entre o Poder Público e instituições do setor privado?

Segundo o artigo 26 da Lei, faz a previsão de que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da LGPD.

A Lei proíbe a transferência dos dados pessoais constantes de bases de dados a que se tenha acesso, à exceção dos seguintes casos:

a) Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI);

b) Em casos em que os dados forem acessíveis publicamente;

c) Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres, que assim se justifiquem como base legal;

d) Para prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança, privacidade, proteção e a integridade do titular dos dados.

34 – Qual o papel da tecnologia na implementação da LGPD?

A análise e as ações para entrar em conformidade com a LGPD devem passar pela composição de pessoas, processos e tecnologia. É sabido que o uso da tecnologia faz muita diferença e é importante, pois, devido ao nível de complexidade da organização, seu apoio irrestrito consistirá em gerenciar todo o ambiente, unidades, serviços, departamentos e atividades, de acordo com os requisitos da lei, buscando realizar a gestão de maneira que consiga agregar, registrar e controlar todas as demandas relativas ao controle, privacidade, proteção e segurança dos dados, dentro dos padrões de boas práticas, governança e em atenção aos princípios gerais previstos na Lei e às demais normas regulamentares.

35 – A LGPD restringe a tomada de decisões automatizadas?

O uso de mecanismos automatizados e algoritmos não são proibidos pela LGPD, uma vez declarada sua finalidade. Porém, o artigo 20 da Lei, que cita situações que envolvam as decisões tomadas exclusivamente por meio de automação, isto é, sem que haja a participação de seres humanos, determina que, de acordo com o seu convencimento e interpretação, o titular dos dados pode, sempre que assim desejar, requerer e acompanhar a revisão daquela decisão automatizada que tenha afetado seus interesses.

36 – Que assuntos devo remeter ao Canal do DPO (Encarregado de dados)?

Casos que envolvam aspectos decorrentes das demandas assistenciais, tais como reclamações, dúvidas ou elogios, provenientes de atendimentos e das necessidades de saúde do paciente, devem ser direcionadas ao SAC-Serviço de Atendimento ao Cliente e SAU – Serviço de atendimento ao usuário.

Aquelas demandas que envolvam questões de cunho ético, reputacional e se configurem como denúncias decorrentes de aspectos que abordem, nas relações de trabalho ou com terceiros, fraudes, corrupção, violência, discriminação, maus-tratos e outras premissas ético-profissionais, comportamentais e de caráter humanitário, deverão ser informadas e relatadas através do formulário específico do CANAL DIRETO, que é o meio oficial de reporte às violações de compliance institucional.

Caberá ao DPO (encarregado de dados), cuidar, dentre outras atribuições, na condição de guardião das informações, daquelas questões referentes à proteção, segurança, privacidade, tratamento, manejo, transferência, eliminação, confirmação de tratamento, acesso ou guarda de dados da organização e de seus clientes/pacientes, dentre outras questões, e para tanto deverá receber por meio de seu formulário específico, com prazo de retorno em até 15 (quinze) dias, segundo o art. 18 da Lei.